본문 바로가기

벌새::Analysis

검색 도우미 : IEPlus

Internet Explorer 웹 브라우저 실행시 11번가 탭이 자동 생성되거나 인터넷 검색시 다양한 광고창을 생성할 수 있는 검색 도우미 IEPlus 프로그램<SHA-1 : 38a25a73e5d20bf0df8fd62e5f0d521f18c0b983 - Avira : Adware/Kraddare.JB.6 (VT : 14/54)>에 대해 살펴보도록 하겠습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\ieplus
C:\Program Files\ieplus\criteo.ini
C:\Program Files\ieplus\criteo.toast
C:\Program Files\ieplus\criteosynd.ini
C:\Program Files\ieplus\ieplus.ini
C:\Program Files\ieplus\ieplusse.exe :: 서비스(ieplusService) 등록 파일
C:\Program Files\ieplus\ieplusu.exe
C:\Program Files\ieplus\UCFAdvertisementX.dll
C:\Program Files\ieplus\uninst_ieplus.exe :: ieplus 프로그램 삭제 파일
C:\Program Files\ieplus\windowstab.dll
C:\Program Files\ieplus\WindowsUCFAdAgent.exe :: 메모리 상주 프로세스
C:\Windows\userconfigwindow.dat
C:\Windows\userconfigwindow.exe :: 서비스(ieplus Update Service) 등록 파일, userconfigwindow 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Program Files\ieplus\ieplusse.exe
 - SHA-1 : f938ab8a44bb0092dbb9d815852fc36eb092a45f
 - Symantec : Trojan.Gen.2 (VT : 5/55)

 

C:\Program Files\ieplus\ieplusu.exe
 - SHA-1 : d8d68eba9887ce46942730714f31485c02466fe8
 - AVG : Generic.1D2 (VT : 4/55)

 

C:\Windows\userconfigwindow.exe
 - SHA-1 : ef0c12546e609395dc367bab9aeb99099ade0f6a
 - BitDefender : Gen:Variant.Graftor.53956 (VT : 33/53)

(주)유씨에프 디지털 서명이 포함된 IEPlus 프로그램은 "C:\Program Files\ieplus" 폴더에 파일을 생성하며, 부가적으로 Windows 폴더 내에 userconfigwindow 프로그램을 자동 설치할 수 있습니다.

userconfigwindow 프로그램은 "ieplus Update Service (표시 이름 : ieplus Support Service)" 서비스 항목을 등록하여 시스템 시작시 ["C:\Windows\userconfigwindow.exe" /update] 파일을 자동 실행하도록 구성되어 있습니다.

또한 IEPlus 프로그램은 "ieplusService (표시 이름 : ieplusService)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\ieplus\ieplusse.exe" 파일을 자동 실행하여 업데이트 기능을 수행하는 "C:\Program Files\ieplus\ieplusu.exe" 파일을 로딩합니다.

이를 통해 특정 업데이트 서버에서 프로그램 버전을 체크하여 추가적인 업데이트가 이루어질 수 있습니다.

이후 광고 기능을 수행하는 "C:\Program Files\ieplus\WindowsUCFAdAgent.exe" 파일(SHA-1 : 047c924b7735e835ec57d063f8d90f62aa36a463)을 메모리에 상주하여 광고 구성값 정보를 체크합니다.

실행된 WindowsUCFAdAgent.exe 프로세스는 UCFAdvertisementX.dll (SHA-1 : d8121d400214243f331f81644b8b246169c474e7), windowstab.dll (SHA-1 : 72c1fd3025e3775dfe9478c41969fe1f8f453184) 광고 모듈을 로딩하여 다음과 같은 다양한 광고 동작을 수행할 수 있습니다.

불규칙적인 간격으로 Internet Explorer 웹 브라우저를 실행할 경우 사용자가 지정한 홈 페이지 이외에 windowstab.dll 광고 모듈을 통해 11번가 탭(Tab)을 추가로 생성하여 오픈할 수 있습니다.

사용자가 인터넷 검색시마다 WindowsUCFAdAgent.exe 프로세스는 검색 키워드 값을 특정 광고 서버로 전송하여 매칭되는 경우, 자동으로 "click.linkprice.com" 제휴 코드가 포함된 광고창을 생성할 수 있습니다.

또한 Internet Explorer 웹 브라우저의 주소 표시줄을 이용한 기본 검색 공급자 엔진을 통해 검색 시도시 windowstab.dll 광고 모듈이 가로채기를 시도하여 11번가 검색으로 자동 연결이 이루어집니다.

 

그 외에도 Internet Explorer 웹 브라우저 종료시 자동으로 후팝업 광고창 생성 등의 다양한 광고 동작이 이루어질 수 있습니다.

 

이러한 광고 동작 중지 및 프로그램 삭제를 위해서는 Windows 작업 관리자를 실행하여 메모리에 상주하는 WindowsUCFAdAgent.exe 프로세스를 찾아 종료하시기 바랍니다.

그 후 제어판에 등록된 "ieplus", "userconfigwindow" 삭제 항목을 이용하여 프로그램을 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\ieplusService
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{E7325448-C1F1-48BB-B22D-9CD84CF3A5B2}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\UCFAdvertisementX.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{16959571-4F50-46EA-87E5-6887766283B7}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{4D01159E-542A-400E-8418-1A6E06B688AD}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6585F67F-6556-4E8B-BEDD-79020C5A51F8}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{892F1B92-C71B-4514-B107-F44F20765E83}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\UCFAdvertisementX.UCFAdvertisementSer.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\UCFAdvertisementX.UCFAdvertisementServi
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ieplus
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\userconfigwindow
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\ieplus Update Service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\ieplusService

 

아이이플러스(IEPlus) 검색 도우미 프로그램은 외부의 광고 모듈이 함께 포함된 다양한 광고 동작을 수행할 수 있으며, 프로그램 설치로 인해 원치않는 다양한 광고창 생성으로 불편을 유발할 수 있으므로 설치되지 않도록 주의하시기 바랍니다.